殺毒軟件，你有；網(wǎng)絡(luò)防火墻，你也有；各種防范措施，你都略知一二，

小心：TCP連接中也暗藏殺機(jī)

。然而，面對各種不安定因素，你能保證自己永不中招？千萬別在出現(xiàn)異常情況時(shí)六神無主，自檢，它能幫你找出安全隱患、制定防守戰(zhàn)略。從容應(yīng)對安全問題，得從自檢開始。自本期開始，我們將為大家?guī)�來自檢三部曲，指導(dǎo)大家學(xué)會(huì)自檢。今天，將介紹的就是針對TCP連接的自檢。

　　病毒和木馬對個(gè)人電腦的威脅越來越大，它們不但破壞本地電腦的安寧，甚至完全摧毀電腦，而且它們還會(huì)利用網(wǎng)絡(luò)技術(shù)，開啟多個(gè)TCP連接感染網(wǎng)絡(luò)中的其他電腦，使病毒或木馬的破壞力大大增強(qiáng)。俗話說“打蛇要打七寸”，如何將這些來自于網(wǎng)絡(luò)的威脅降到最低點(diǎn)，非常重要的一個(gè)防范措施就是管好電腦中的TCP連接，經(jīng)常自檢尤為重要。

　　電腦中的TCP連接分為兩種，一種是本機(jī)中危險(xiǎn)進(jìn)程開啟的由內(nèi)到外的TCP連接，另一種是來自外部惡意攻擊的外部TCP連接。對于這兩種TCP連接，需要采用不同的自檢和處理方法，今天我們就會(huì)為大家介紹這兩種方法。

　　小知識：當(dāng)用戶使用某些危險(xiǎn)的網(wǎng)絡(luò)服務(wù)，或某些病毒、 控制系統(tǒng)的時(shí)候，就會(huì)先使用TCP協(xié)議建立端對端的連接，然后進(jìn)行下一步的操作，這就是所謂的惡意TCP連接。

　　細(xì)心：檢測由內(nèi)向外的TCP連接

　　安全警報(bào)：報(bào)警！報(bào)警！網(wǎng)內(nèi)突發(fā)傳播性極強(qiáng)的攻擊性事件，它不但感染本地系統(tǒng)，造成計(jì)算機(jī)異常，而且它還通過網(wǎng)絡(luò)擴(kuò)散，開啟大量的TCP連接，感染網(wǎng)絡(luò)中的其他機(jī)器。此時(shí)，對于這種還未探明具體成因的惡意事件，可對由內(nèi)向外的TCP連接進(jìn)行自檢，找出并關(guān)閉異常或惡意的網(wǎng)絡(luò)進(jìn)程。

　　如果你的電腦不幸中了某些病毒或木馬（如震蕩波、沖擊波等），它們在感染本地Windows系統(tǒng)的同時(shí)，還會(huì)開啟很多由內(nèi)到外的TCP連接以攻擊網(wǎng)絡(luò)中的其他電腦，此時(shí)如果殺毒軟件不能進(jìn)行查殺，那么你就會(huì)在無形中充當(dāng)病毒的幫兇。

　　豈能輕易當(dāng)幫兇？雖然此時(shí)不能徹底清除病毒，但我們完全可以減緩病毒的危害性，阻止病毒、木馬創(chuàng)建由內(nèi)向外的TCP連接，防止它們進(jìn)一步擴(kuò)散。

　　1、請來Tcpview

　　雖然用Windows系統(tǒng)自帶的“NETSTAT”命令可以檢測本機(jī)的TCP連接情況，但該命令畢竟是基于命令行方式的，使用起來非常不方便，而且TCP連接情況不能實(shí)時(shí)更新。因此筆者建議大家使用“Tcpview”這款工具

　　在Tcpview的網(wǎng)絡(luò)連接顯示框中，會(huì)顯示出所有進(jìn)程的網(wǎng)絡(luò)連接情況，包括病毒建立的由內(nèi)到外的TCP連接。這些連接信息還是實(shí)時(shí)動(dòng)態(tài)變化的，能夠顯示出詳細(xì)的TCP連接參數(shù)信息，如進(jìn)程名、進(jìn)程ID、連接使用的協(xié)議、本地地址和端口號。現(xiàn)在，通過Tcpview程序，就可以很容易地分析出每個(gè)TCP連接的情況。

　　2．仔細(xì)檢查TCP連接

　　如果你發(fā)現(xiàn)Tcpview網(wǎng)絡(luò)連接顯示框中有不熟悉的進(jìn)程名，而且這個(gè)進(jìn)程的TCP連接數(shù)量非常多，變化頻率也很快，這說明這些TCP連接可能就是系統(tǒng)中存在的病毒或木 立的由內(nèi)到外的TCP連接，

電腦資料

《小心：TCP連接中也暗藏殺機(jī)》(http://www.oriental01.com)。

　　為了防止惡意程序的蔓延和傳播，可以記錄相關(guān)進(jìn)程使用的本地端口號，然后右鍵點(diǎn)擊這些進(jìn)程項(xiàng)目，選擇“End Process”結(jié)束這些由內(nèi)到外的TCP連接。接下來，就利用網(wǎng)絡(luò)防火墻關(guān)閉病毒所使用的端口，禁止病毒開啟惡意的TCP連接。

　　筆者在此還建議大家一定要給Windows XP系統(tǒng)安裝SP2補(bǔ)丁，它可以將程序開啟的線程數(shù)限制在10個(gè)以內(nèi)，這樣也就有效地限制了病毒建立的由內(nèi)到外的TCP連接數(shù)。

　　方法總結(jié)：以上方法適用于對本機(jī)中的病毒或木馬創(chuàng)建的TCP連接進(jìn)行自檢，也就是對由內(nèi)到外的TCP連接進(jìn)行檢測，這可以有效地緩解這些害群之馬所帶來的危害。但筆者還是要提醒大家，要想徹底消滅這些由內(nèi)到外的TCP連接，還需要即時(shí)升級殺毒軟件，安裝Windows系統(tǒng)的相應(yīng)補(bǔ)丁程序。

　　謹(jǐn)慎：嚴(yán)查外部TCP連接

　　安全警報(bào)：報(bào)警！報(bào)警！本機(jī)某個(gè)端口突然有大量TCP連接，嚴(yán)重消耗本機(jī)的網(wǎng)絡(luò)資源，網(wǎng)絡(luò)速度急劇降低且不穩(wěn)定，疑是來自外部的病毒或 攻擊。

　　除了病毒或木馬會(huì)利用由內(nèi)到外的TCP連接，危害網(wǎng)絡(luò)中的其他電腦外。本機(jī)也可能受到來自外部的攻擊，如病毒或 攻擊本機(jī)的某個(gè)網(wǎng)絡(luò)端口，當(dāng)然這些攻擊也是利用TCP連接實(shí)現(xiàn)的，不同的是它們都是來自外部的惡意TCP連接。因此針對本機(jī)是否受到外部TCP連接攻擊的檢測，非常必要。

　　要想知道本機(jī)是否受到外部TCP連接的攻擊，就需要通過監(jiān)控某個(gè)端口來實(shí)現(xiàn)，使用“TCP攻擊監(jiān)控器v1.0”這款工具是不錯(cuò)的選擇。

　　1、配置監(jiān)控參數(shù)

　　如果筆者想監(jiān)控Windows XP系統(tǒng)的IIS服務(wù)器的80端口是否受到攻擊，可運(yùn)行TCP攻擊監(jiān)控器，首先在“監(jiān)控端口”欄中輸入“80”，然后根據(jù)需要設(shè)置好“刷新周期”和“單IP最小連接數(shù)”，接下來該工具就會(huì)監(jiān)控IIS服務(wù)器的80端口的外部TCP連接情況。

　　2．從記錄中找出攻擊源

　　在“TCP連接數(shù)”欄中詳細(xì)地記錄著每個(gè)與IIS服務(wù)器建立TCP連接的機(jī)器的IP地址，并且還記錄了這個(gè)IP的TCP連接數(shù)。

　　如果短時(shí)間內(nèi)，來自某個(gè)IP地址的TCP連接數(shù)非常多，那么很有可能就是使用這個(gè)IP地址的機(jī)器對IIS服務(wù)在進(jìn)行TCP攻擊，這是非常危險(xiǎn)的。由于這些來自外部的TCP攻擊很可能是病毒或 所為，為了保證IIS服務(wù)器的安全，我們可以在IIS服務(wù)器或網(wǎng)絡(luò)防火墻中，徹底禁止該IP地址發(fā)起的訪問，這樣就擺脫了外部惡意TCP連接的攻擊， Windows系統(tǒng)會(huì)更加安全。

　　方法總結(jié)：此方法適用于對來自外部的TCP連接進(jìn)行自檢，做好對這些外部的TCP連接的監(jiān)控和自檢工作，過濾有害的外部TCP連接，能夠最大限度地減輕外部病毒或 攻擊所帶來的危害。